Так как же все таки надо поступить?

Способ с "испорченным" паролем более универсальный, но неправильный :-).

Самый правильный путь - подбирать всех демонов таких, которые правильно

отрабатывают запрет входа (например, через "account expiration"). Кстати,

те демоны, которые у вас "с раздачи" (то есть, из "родного" дистрибутива),

должны правильно обрабатывать такой запрет. Проблемы могут возникнуть только

с программами от других разработчиков.

Кроме того, для юзеров, запускающих "IP по модему", обычно, другой

способ входа недоступен. Поэтому можно смело пользоваться "account

expiration" или запретом в /etc/login.access.